Специалисты предупредили о новой схеме мошенничества с доменами

Специалисты по безопасности предупредили об участившихся случаях воровства доменных имен. В "группе риска" у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. "Угнанные" ресурсы злоумышленники чаще всего используют для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта. Об этом сообщает компания Group-IB.
iStock

Осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, специалисты обратили внимание на любопытную деталь: злоумышленники использовали не созданные "с нуля" и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.

Один из подобных сайтов - "медкнижка-тверь.рф" появился весной 2019 года для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент с него был удален, зато появилось объявление о несуществующей акции от лица одного из крупных российских банков: традиционно за прохождение опроса пользователям обещали 2020 рублей. В результате, отвечая на несложные вопросы, в конце пользователь должен был ввести данные банковской карты и CVC\CVV якобы для перевода ему денег.

Вводило в заблуждение то, что доменное имя ресурса было абсолютно легальным - "медкнижка-тверь.рф" и было оплачено до мая 2021, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники (опасный сайт был заблокирован).

Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты установили, как действовала схема "угона" домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура "перехвата" занимает от 30 минут до нескольких часов.

После этих несложных манипуляций угонщики могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для финансового мошенничества - кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками (атаки типа watering hole).

"Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера, - замечает Александр Калинин, руководитель CERT-GIB. - Мы предупредили о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов, может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете".